Contacta con nosotros

Temario del curso

1. Conceptos y Alcance del Análisis Estático de Código

  • Definiciones: análisis estático, SAST, categorías de reglas y severidad.
  • Alcance del análisis estático en un SDLC seguro y cobertura de riesgos.
  • Cómo se integra SonarQube en los controles de seguridad y flujos de trabajo de los desarrolladores.

2. Descripción General de SonarQube: Características y Arquitectura

  • Servicios principales, base de datos y componentes del escáner.
  • Portales de calidad (Quality Gates), Perfiles de calidad y mejores prácticas para Portales de Calidad.
  • Características relacionadas con la seguridad: vulnerabilidades, reglas SAST y mapeo CWE.

3. Navegación y Uso de la Interfaz de Usuario del Servidor SonarQube

  • Recorrido por la interfaz del servidor: proyectos, problemas, reglas, métricas y vistas de gobernanza.
  • Interpretación de páginas de problemas, trazabilidad y orientación para la remediación.
  • Generación de informes y opciones de exportación.

4. Configuración de SonarScanner con Herramientas de Compilación

  • Configuración de SonarScanner para Maven, Gradle, Ant y MSBuild.
  • Mejores prácticas para propiedades del escáner, exclusiones y proyectos multimódulo.
  • Generación de datos de prueba e informes de cobertura necesarios para un análisis preciso.

5. Integración con Azure DevOps

  • Configuración de las conexiones de servicio de SonarQube en Azure DevOps.
  • Agregado de tareas de SonarQube a las Canalizaciones de Azure (Azure Pipelines) y decoración de Pull Requests (PR).
  • Importación de Azure Repos en SonarQube y automatización de los análisis.

6. Configuración del Proyecto y Analizadores de Terceros

  • Perfiles de calidad a nivel de proyecto y selección de reglas para Java y Angular.
  • Trabajo con analizadores de terceros y ciclo de vida de los plugins.
  • Definición de parámetros de análisis e herencia de parámetros.

7. Roles, Responsabilidades y Revisión de la Metodología de Desarrollo Seguro

  • Separación de roles: desarrolladores, revisores, DevOps y propietarios de seguridad.
  • Construcción de una matriz de roles y responsabilidades para los procesos de CI/CD.
  • Proceso de revisión y recomendaciones para una metodología de desarrollo seguro existente.

8. Avanzado: Adición de Reglas, Ajuste y Mejora de Características Globales de Seguridad

  • Uso de la API Web de SonarQube para agregar y gestionar reglas personalizadas.
  • Ajuste de Portales de Calidad (Quality Gates) y aplicación automatizada de políticas.
  • Fortalecimiento de la seguridad del servidor SonarQube y mejores prácticas de control de acceso.

9. Sesiones de Laboratorio Prácticas (Aplicadas)

  • Laboratorio A: Configurar SonarScanner para 5 repositorios Java (Quarkus cuando corresponda) y analizar los resultados.
  • Laboratorio B: Configurar el análisis de Sonar para 1 aplicación front-end Angular e interpretar los hallazgos.
  • Laboratorio C: Laboratorio de canalización completa: integrar SonarQube con una canalización de Azure DevOps y habilitar la decoración de PR.

10. Pruebas, Resolución de Problemas e Interpretación de Informes

  • Estrategias para la generación de datos de prueba y medición de cobertura.
  • Errores comunes y resolución de problemas del escáner, canalizaciones y permisos.
  • Cómo leer y presentar los informes de SonarQube a partes interesadas técnicas y no técnicas.

11. Mejores Prácticas y Recomendaciones

  • Selección del conjunto de reglas y estrategias de aplicación incremental.
  • Recomendaciones de flujo de trabajo para desarrolladores, revisores y canalizaciones de compilación.
  • Hoja de ruta para escalar SonarQube en entornos empresariales.

Resumen y Próximos Pasos

Requerimientos

  • Conocimiento del ciclo de vida del desarrollo de software
  • Experiencia con control de versiones y conceptos básicos de CI/CD
  • Familiaridad con entornos de desarrollo Java o Angular

Público Objetivo

  • Desarrolladores (Java / Quarkus / Angular)
  • Ingenieros de DevOps y CI/CD
  • Ingenieros de seguridad y revisores de seguridad de aplicaciones
 21 Horas

Número de participantes


Precio por participante

Testimonios (1)

Próximos cursos

Categorías Relacionadas